EUのAI法2026：欧州でAIを導入する前にCTOと製品チームが変えるべきこと

この2年間、EUのAI法に関するほとんどの会話は、法務チーム、コンプライアンス・リード、ポリシーのスペシャリストにとどまっていた。2026年8月2日には、製品、エンジニアリング、プラットフォーム・チームにとって、より実用的な形で変化する。.

これは、附属書IIIの高リスクAIシステムの枠組みや、特定のAIシステムおよびAIが生成したコンテンツに対する第50条の透明性義務など、AI法の規則の大半が適用され始める時期である。同法は2024年8月1日に発効した。禁止されるAI行為とAIリテラシーに関する規則は2025年2月2日から、汎用AIモデルに関する義務は2025年8月2日から適用されている。規制対象製品に組み込まれた高リスクのAIに対する義務の一部は、その後、2027年8月2日から適用される。.

本書はコンプライアンスに関する概説書ではない。AIシステムを設計、構築、統合、出荷するチームのための実践的なガイドであり、ヨーロッパでAIを展開する前に、アーキテクチャ、製品フロー、ロギング、文書化、ベンダーの依存関係、運用管理で何を見直すべきかについて説明している。.

法務やコンプライアンスだけでなく、CTOや製品チームにも重要な理由

EUのAI法は、AIに適用される製品安全規制として構成されている。EUのAI法は、AIに適用される製品安全規制として構成されている。AIに課される義務は、文書化や方針表明が中心ではない。それらは技術的な要求事項である。.

高リスクのAIシステムについては、同法はシステムに一から組み込まれた自動イベントロギングを要求している。ボルトオン機能ではない人間による監視メカニズムが必要。システムのライフサイクルを通じて維持される技術文書が必要。市場投入前に完了する適合性評価が必要です。これらは、法務チームが事後的に作成できるものではない。エンジニアリング・チームが設計し、構築し、維持しなければならないものなのだ。.

2026年の施行によって生じるコンプライアンスの失敗は、不完全な文書を作成したチームから生じるものではない。システムを分類しなかったり、開発プロセスにガバナンス・ゲートを設けずに出荷したり、サードパーティーの製品を扱ったりしたチームに起因するものだ。 AIインテグレーション 規制されたAIコンポーネントではなく、ソフトウェアの依存関係として。.

製品チームも同様にさらされている。第50条に基づく透明性の義務は、ユーザーがAIと対話する際に情報を提供することを求めている。システムがコンテンツを生成し、メディアを操作し、ユーザーに影響を与える決定を下す場合、製品フローを変更する必要があるかもしれない。同意のタッチポイント、情報開示の仕組み、フォールバック・パス、人間によるエスカレーション・ルートは製品設計上の問題であり、導入前に答えが必要だ。.

結論はこうだ： 2026年のEU AI法への対応は、まず製品、エンジニアリング、調達の問題である。法的審査はプロセスの一部ではあるが、スプリント・プランニングでなされるべき設計上の決定を代替することはできない。.

2026年8月の締め切りが意味するもの

同法は2024年8月の施行以来、段階的に展開されてきた。以下はその状況である：

欧州委員会は2025年後半に「デジタル・オムニバス」パッケージを提案し、整合規格が利用可能になることを条件に、特定の高リスクの期限を最大16カ月延長する可能性があることを明らかにした。この提案は法律として確定したわけではない。. 慎重な計画では、2026年8月を拘束力のある期限として扱う。.

同法は域外適用される。GDPRのように、会社の登録住所ではなく、システムの出力範囲に従います。貴社のAIシステムがEU域内に展開されている場合、あるいはEU居住者に影響を及ぼす場合、ロンドン、オースティン、ドバイのいずれに構築されているかにかかわらず、同法が適用されます。.

AIサプライチェーンにおけるあなたの役割を理解する

この法律で最も重要な-そして過小評価されている-側面のひとつは、あなたの義務があなたの所属する会社によって異なるということだ。 役割, 技術だけではない。.

同法は次のように区別している：

• プロバイダー - AIシステムを構築または委託し、自らの名前でEU市場に投入する事業体
• デプロイヤー - 業務上AIシステムを使用する事業体

AIを活用した採用ツールを構築し、欧州の企業に販売しているSaaS企業がある。 プロバイダー. .そのツールを人事ワークフローに統合している企業は、次のような企業である。 ディプロイヤー. .両者には明確な義務がある。.

この違いは、サードパーティーのAIを統合する際に非常に重要である：

• サードパーティのモデルを（API経由で）欧州の顧客に出荷する製品に組み込んだ場合、下流システムのプロバイダーレベルの義務を負う可能性がある。.
• サードパーティのモデルを微調整したり、適応させたり、大幅に変更したりすると、コンプライアンス態勢が変化する。.
• LLMのようなGPAIモデルをAPI経由で消費している場合、モデル提供者は別にGPAI義務を負うが、その上に構築するシステムは、分類し管理する責任がある。.

実際には、多くの製品チームが同時に プロバイダー 彼らが構築したシステムと ディプロイヤーズ 統合する GPAI 能力の。両方の義務が適用される可能性がある。.

リスクの分類最初に答えなければならない質問

同法の義務はリスクに応じて拡大する。文書化する前に、インフラを記録する前に、製品を再設計する前に、AIシステムを分類する必要があります。.

ほとんどのエンジニアリング・チームにとって重要な決定ポイントは、あるシステムが以下に該当するかどうかである。 附属書III ハイリスク. .欧州委員会は、2026年2月までに第6条の分類に関する指針を発表することを法的に求められていたが、その期限を過ぎてしまった。最終的な指針は数カ月以内に発表される予定である。もし、あなたのシステムが適格かどうか不明な場合、公式ガイダンスがないことは待つ理由にはならない。.

配備前にエンジニアリングチームが確認すべきこと

システムが高リスクに分類された場合、エンジニアリングへの影響は相当なものになります。ここで、チームは一般的に最大のギャップを見つける。.

ロギングと監査可能性

第12条は、高リスクのAIシステムが技術的に以下を可能にすることを求めている。 システム寿命に渡るイベントの自動記録. .「自動」とは、システムが自らログを生成することを意味し、手動による文書化はこの要件を満たさない。「ライフタイム」とは、現在のリリースだけでなく、導入から廃止までを意味する。.

ログは、システムがリスクをもたらす可能性のある状況、または大幅な変更を受ける可能性のある状況、市販後モニタリングのためのデータ、および配備者の運用モニタリングのためのデータをカバーする必要がある。第18条では、ログを最低6カ月間保存することを義務付けている。.

ほとんどのロギング・パイプラインは、出力をキャプチャするが、意思決定ロジックはキャプチャしない。このギャップが、コンプライアンスにさらされる場所である。.

実際には、チームは見直すべきである：

• ログが入力、出力、中間決定ステップ、タイムスタンプ、オペレーターとのやり取りを記録しているかどうか
• マルチステップエージェントのワークフローがエンドツーエンドでトレースされるかどうか
• ログが改ざんされていないことを示す方法で保存されているかどうか。

技術文書

高リスクシステムの場合、附属書IVは、システム・アーキテクチャ、訓練方法、性能評価基準、既知の制限、リスク管理文書など、市場投入前に作成し、システムのライフサイクルを通じて維持しなければならない9つのカテゴリーの必須技術文書を規定している。第18条は、これらの文書を以下の期間保持することを求めている。 10年.

実際には、チームは見直すべきである：

• ドキュメントがモデルのバージョンと一緒にバージョン管理されているかどうか
• エッジケースを含む代表的なデータセットでのパフォーマンスをカバーしているかどうか
• 規制当局がモデルをリバースエンジニアリングすることなくコンプライアンスを評価できる構造になっているかどうか。

モデルの実証性とサードパーティの依存関係

あなたのシステムがサードパーティの基盤モデルに依存している場合、そのプロバイダがどのような文書を提供し、どこからあなたの義務が始まるのかを理解する必要があります。GPAIモデルの上にアプリケーションを構築し、それを高リスクのコンテキストで展開する場合、アプリケーションレベルのプロバイダの義務は、以下のようになります。 あなた.

実際には、チームは見直すべきである：

• 各サードパーティモデルベンダーが提供するAIガバナンス文書
• 責任をめぐる契約上の境界線
• あなたのユースケースが、モデル提供者が文書化した範囲内かどうか。

人的監視メカニズム

リスクの高いAIシステムは、配備者が人間の監視を実施できるように設計されなければならない。これは アーキテクチャ要件, プロセス・ステートメントではない。システムは、人間のオペレーターが一時停止、上書き、フラグを立てることができる必要がある。.

実際には、チームは見直すべきである：

• 人間によるレビューのトリガーとなる信頼度のしきい値が設定可能かどうか
• オーバーライド経路がUIとバックエンドに存在するかどうか
• 人間の監督介入が記録されているかどうか

アクセス制御と役割ベースの説明責任

この法律では、誰が意思決定を行い、システムを修正し、配備を承認したかを特定できることが暗黙のうちに要求されている。シャドーAI（従業員が外部のAIツールを使用し、中央で可視化することなく本番データに触れること）は、ほとんどのエンジニアリング・チームが現在測定していないコンプライアンス・エクスポージャーを生み出す。.

実際には、チームは見直すべきである：

• 生産スタック内のすべてのAIコンポーネントが一元的にインベントリ化されているかどうか
• ロールベースのアクセス制御によって、AIコンポーネントの導入、変更、無効化が可能かどうか
• 貴社のインシデント処理プロセスがAIシステム障害に特化しているかどうか

配備前に製品チームが確認すべきこと

透明性と情報開示

2026年8月以降、一部の対話型AIシステム、合成コンテンツシステム、感情認識／生体認証システム、特定のディープフェイク関連用途（高リスクに限らない）を含む特定のAIシステムに、第50条の透明性義務が適用される。御社の製品が会話型インターフェースを通じてユーザーと対話する場合、コンテンツを生成する場合、ユーザーに影響を与える目に見える決定を行う場合、AIが関与していることを開示する必要があるかもしれません。.

実際には、チームは見直すべきである：

• AIが生成したコンテンツが、インターフェース上でそのように識別されるかどうか
• チャットボットやAIアシスタントと対話する際に、ユーザーに情報が提供されるかどうか
• 情報開示のタッチポイントが目に見える形で明確になっているかどうか - サービス内容に埋もれていないかどうか

人間のエスカレーションとフォールバック・パス

リスクの高いシステムの場合、AIシステムが自分に影響する決定を下したとき、ユーザーは人間にエスカレーションするパスが必要だ。これはオプションではない。.

実際には、チームは見直すべきである：

• ユーザーに影響を与える可能性のあるすべてのAI主導の意思決定に、対応するエスカレーションまたはレビューの経路があるかどうか。
• AIコンポーネントが利用できないときにフォールバックパスが機能するかどうか
• フォールバックがシステムの運用要件の一部として文書化されているかどうか。

同意とデータの取り扱い

個人データを処理するAIを導入するチームにとって、GDPRとAI法の義務は大きく重なる。自動意思決定、トレーニングデータの合法的根拠、データ主体の権利が同時に適用される。.

実際には、チームは見直すべきである：

• 同意の流れがAIコンポーネントのデータ処理方法と一致しているかどうか
• データ主体がAIパイプラインを通じて伝播する権利（アクセス、消去、異議申し立て）を行使できるかどうか
• 本番環境に古いトレーニングデータを残すことなく、システムが同意撤回に対応できるかどうか。

CTOと製品チームのための実践的準備チェックリスト

このチェックリストは、定まった法解釈ではなく、法律の要件に基づく実務的な推奨事項を反映したものである。正式な法的検討の代わりではなく、社内評価の出発点として使用してください。.

システムのインベントリーと分類

• [ ] 生産中およびロードマップにあるすべてのAIコンポーネントがインベントリ化されている。
• [各システムには、文書化されたリスク階層アセスメントがある。
• [附属書 III 地域に近いシステムは、特定のユースケース基準に照らして評価されている。
• [サードパーティのAI統合が特定され、そのコンプライアンス態勢がレビューされた。
• [各AIコンポーネントについて、プロバイダーとデプロイヤーの役割が決定されている。

エンジニアリングと建築

• [ロギングインフラは、入力、出力、決定ステップ、タイムスタンプ、およびオペレータのアクションをキャプチャします。
• [ログは少なくとも6ヶ月間保存され、改ざん防止された形で保管される。
• [各システムに技術文書が存在し、モデルのバージョンと一緒にバージョン管理されている。
• [システム・アーキテクチャに人間による無効化メカニズムが組み込まれている。
• [役割ベースのアクセス制御により、AIコンポーネントの配備、変更、無効化を行うことができます。
• [モデル実証とサードパーティモデル文書がレビューされ、保存される。
• [インシデント処理プロセスは、AIシステムの障害や不利な出力をカバーする。

製品とUX

• [情報開示のタッチポイントは、法律が透明性を求めている場所に設置されている。
• [ユーザーに影響を与えるAI主導の決定には、人間によるエスカレーション経路が存在する。
• [AIコンポーネントが利用できない場合、フォールバックフローが機能する。
• [同意の流れはAIデータ処理慣行と一致している
• [製品マニュアルには、AIコンポーネントの機能、制限、使用目的が記載されています。

ガバナンスとプロセス

• [組織内に AI コンプライアンスの責任者がいる。
• [AI ガバナンスは開発プロセスに組み込まれ、最終段階の法的レビューとして扱われることはない。
• [リスクの高いシステムに対する市販後モニタリング計画がある。
• [高リスクのシステムに対して適合性評価が実施された（または予定されている）。
• [該当する高リスクシステムについては、EUデータベース登録が計画されている。

アーキテクチャとガバナンスの関係

EUのAI法の下でコンプライアンス・リスクに最もさらされているチームは、必ずしも最も洗練されたAIを構築しているわけではない。それらのチームは、迅速に行動し、場当たり的にAI機能を統合し、システムレベルでの観測可能性、トレーサビリティ、ガバナンスをサポートする基本アーキテクチャを構築しなかった。.

監査グレードのエビデンスを生成するロギングインフラ。追跡可能な意思決定パスを持つモデル・オーケストレーション・パイプライン。ライフサイクルを通じてシステムとともにあるドキュメンテーションフレームワーク。コアフローに組み込まれた人間による監視フック。これらはコンプライアンス機能ではなく、AIシステムに適用される優れたエンジニアリング手法である。この法律は、多くの点で、プロダクション・グレードの AIの展開 のように見えるはずだ。.

プラットフォームの規律に投資したチームは、コンプライアンスへの準備が、再構築ではなく、主に文書化と評価の作業であることに気づくだろう。そうでないチームは、より困難な道を歩むことになる。.

との実質的な違いはここにある。 AIの実験 そして AI導入. .実験は、設計上、低リスクである。規制された市場での生産展開とは、システムのすべての構成要素に所有者、目的、境界、監査証跡があることを意味する。.

欧州でAIを導入する前にすべき質問

これらは実践的な推奨事項であり、決定的な法的チェックリストではない。.

1. 我々はこのシステムを分類したのだろうか？ 附属書IIIのハイリスクか？評価を文書化したか？
2. 我々は提供者なのか、配置者なのか、あるいはその両方なのか？ それぞれの役割における義務を理解しているか？
3. このシステムはどのようなサードパーティのAIに依存しているのか？ 彼らの責任はどこで終わり、我々の責任はどこから始まるのか？
4. システムが何をしたのか、なぜそうなったのかを再構築することはできるのか？ 我々のロギング・インフラは、監査人を満足させる証拠を作り出しているだろうか？
5. このシステムがユーザーに影響を与える決定を下した場合、次に何が起こるのか？ 人間的なエスカレーション経路はあるか？それは機能しているか？
6. 当社の製品は、必要に応じてAIの関与を開示していますか？ 透明性の義務は、プライバシーポリシーだけでなく、UIにも反映されているか？
7. DPIAまたはFRIAを実施したか？ 個人データを扱うリスクの高いシステムでは、その両方が必要となる場合もある。.
8. 技術文書は最新でバージョン管理されているか？ レギュレーターはそこからコンプライアンスを評価できるだろうか？
9. 当社の開発プロセスには、AI導入のためのガバナンスゲートが含まれていますか？ それとも、リリース時点ではまだコンプライアンスは後回しなのだろうか？

市販後のモニタリング計画はあるか？ レビューやインシデント・レポートのきっかけは何ですか？

企業が犯しがちな間違い

コンプライアンスを最終段階の法的審査として扱う。. この法律が課す要件（記録、文書化、人的監視、透明性）は、設計上の決定事項である。大幅な手直しなしに、出荷された製品に後付けすることはできない。.

第三者モデルの義務を無視する。. LLMの統合 APIを経由しても、あなたのコンプライアンス責任はモデル提供者に移譲されない。GPAIモデルの上に製品を構築し、それをリスクの高い状況で展開するのであれば、リスクの高いプロバイダーの義務はあなたにある。.

AIリテラシーとAIガバナンスの混同。. 法律の内容を知っていることと、コンプライアンスを実証するインフラを持っていることは同じではない。文書化、記録、監督メカニズム、適合性評価は、運用上の成果物であり、政策的立場ではない。.

デジタル・オムニバスの延長を待っている。. 提案は存在する。可決されるかもしれない。しかし、法律として確定したわけではなく、根本的な順守義務がなくなるわけでもない。.

GDPRの論理を適用し、それで十分だとする。. これらの枠組みは重複しているが、同一ではない。AI法は、GDPRがカバーしていない特定の要件（ロギング、技術文書化、人的監督、適合性評価）を追加している。.

エンジニアリング主導のインプリメンテーション・パートナーができること

AIの実験から、規制市場における本番稼動可能な展開への移行は、単なるコンプライアンス・チェックボックスではなく、エンジニアリングの課題である。具体的には、監査グレードのエビデンスを生成するロギング・インフラの構築、アーキテクチャ・レベルで機能する人的監視メカニズムの設計、ライフサイクルを通じてシステムと共に移動する文書化フレームワークの確立、レビューの実施などが挙げられる。 モデル・オーケストレーション トレーサビリティのためのパイプライン、サードパーティの依存関係の評価、開発ワークフローへのガバナンスゲートの統合。.

Carmatecでは、このようなAI統合をクライアントとともに行ってきた、, プラットフォーム・エンジニアリング, およびエンタープライズ・システムを構築してきました。私たちは RAGパイプライン, 実施された AIによる自動化, そして、概念実証から本番稼動への移行を支援した。EUのAI法コンプライアンスに伴うインフラ要件は、新しいカテゴリの仕事ではなく、適切に行われた場合のプロダクショングレードのAI導入の姿なのです。.

貴社のチームが欧州市場向けにAIシステムを構築し、上記の準備に関する質問に取り組んでいる場合、私たちは貴社の現状を評価し、変更すべき点を特定し、コンプライアンスをサポートするアーキテクチャを備えた展開可能なシステムを構築するお手伝いをすることができます。.

よくある質問

EU域外に拠点を置く場合、EUのAI法は適用されますか？

同法は域外適用される。貴社のAIシステムがEU域内で展開されている場合、またはそのアウトプットがEU居住者に影響を及ぼす場合、貴社の法人所在地やモデルのホスティング先にかかわらず、同法が適用されます。これはGDPRの領域モデルを反映している。.

EUのAI法では、何が高リスクのAIシステムとみなされるのか？

附属書Ⅲには、採用・履歴書審査、信用スコアリング、重要インフラ管理、バイオメトリクス分類、教育評価ツールなど、特定のユースケースを対象とした高リスクシステムがリストアップされている。あなたのシステムがこれらのカテゴリーに該当する、または近い場合は、文書化されたリスク分類演習を実施すべきである。.

サードパーティのLLMをAPI経由で利用する場合、コンプライアンス上の義務はありますか？

GPAIモデルの上にアプリケーションを構築し、それを高リスクのコンテキストで展開する場合、高リスクのプロバイダの義務はあなたのものです。モデル提供者のコンプライアンスが、アプリケーション構築者であるあなたのコンプライアンスを代替することはありません。.

違反した場合の罰金は？

高リスクのAIシステム違反の場合、罰則は1500万ユーロまたは世界の年間売上高の3%のいずれか高い方に達する可能性がある。禁止されたAI慣行の場合、上限は3500万ユーロまたは全世界の年間売上高の7%となる。自動意思決定に関するGDPRの違反は、これらの金額に加えて適用される可能性がある。.

デジタル・オムニバス案は期限を遅らせるかもしれない。待つべきか？

この提案は法律として承認されたわけではなく、仮に可決されたとしても、特定の附属書IIIカテゴリーの期限を調整する可能性があるだけで、根本的な義務がなくなるわけではない。2026年8月の期限に向けて計画を立てることが賢明なアプローチである。.

この法律は、顧客向けの製品だけでなく、社内のAIツールにも適用されるのか？

ユースケースによる。労働者に影響を与える決定を行う社内AIツール（業績評価、タスク配分、職場モニタリング）は、付属書IIIの高リスクカテゴリーに該当する可能性があり、分類の見直しが必要です。.

結論

EUのAI法は将来のコンプライアンス負担ではない。2026年8月2日を施行日とする現在の技術要件である。.

AIを最も効果的に活用できる組織は、AIを製品安全規制として扱う組織である。システム分類、監査グレードのロギング、バージョン管理された文書、人間による監視アーキテクチャ、透明性の高い製品フロー、開発プロセスに組み込まれたガバナンス - これらは、コンプライアンスに準拠したAI導入の構成要素である。これらはまた、偶然の一致ではないが、本番環境において信頼性が高く、保守可能で、信用できるAIシステムの構成要素でもある。.

もしあなたのチームが現在、AI機能をヨーロッパ展開に向けて進めていて、まだ体系的な分類の実施、ロギング基盤の見直し、サードパーティモデルの依存関係の評価を行っていないのであれば、今こそ始めるべき時です。.

カーマテックについて

カーマテック は、23年にわたりソフトウェア・プラットフォームを構築してきました。英国、ヨーロッパ、北米、中東、インドにまたがるテクノロジー主導の企業と協力し、AIを実験から本番環境での実装へと導きます。.

AIシステムの欧州展開を準備中で、準備状況の評価、アーキテクチャの見直し、準拠したデリバリーに向けての構築を支援するエンジニアリング主導のパートナーが必要な場合は、当社のチームにご相談ください。.